Share via

Disabilitare l'autenticazione come modello di Resource Manager

  • Articolo

I token di Azure AD vengono usati quando gli utenti del Registro di sistema eseguono l'autenticazione con Registro Azure Container. Per impostazione predefinita, Registro Azure Container (ACR) accetta i token di Azure AD con un ambito di destinatari impostato per Azure Resource Manager (ARM), un livello di gestione del piano di controllo per la gestione delle risorse di Azure.

Disabilitando i token del gruppo di destinatari arm e applicando i token di gruppo di destinatari del Registro Azure Container, è possibile migliorare la sicurezza dei registri contenitori durante il processo di autenticazione restringendo l'ambito dei token accettati.

Con l'imposizione del token del gruppo di destinatari del Registro Azure Container, durante l'autenticazione e il processo di accesso verranno accettati solo i token di Azure AD con ambito di gruppo di destinatari impostato in modo specifico per Registro Azure Container. Ciò significa che i token di gruppo di destinatari arm accettati in precedenza non saranno più validi per l'autenticazione del Registro di sistema, migliorando così la sicurezza dei registri contenitori.

In questa esercitazione apprenderai a:

  • Disabilitare authentication-as-arm in Registro Azure Container - Interfaccia della riga di comando di Azure.
  • Disabilitare authentication-as-arm nel Registro Azure Container - portale di Azure.

Prerequisiti

Disabilitare authentication-as-arm in Registro Azure Container - Interfaccia della riga di comando di Azure

La disabilitazione azureADAuthenticationAsArmPolicy forza il Registro di sistema a usare il token del gruppo di destinatari del Registro Azure Container. È possibile usare l'interfaccia della riga di comando di Azure versione 2.40.0 o successiva, eseguire az --version per trovare la versione.

  1. Eseguire il comando per visualizzare la configurazione corrente dei criteri del Registro di sistema per l'autenticazione usando i token ARM con il Registro di sistema. Se lo stato è enabled, sia gli ACR che i token del gruppo di destinatari arm possono essere usati per l'autenticazione. Se lo stato è disabled significa che solo i token del gruppo di destinatari di Registro Azure Container possono essere usati per l'autenticazione.

    az acr config authentication-as-arm show -r <registry>

  2. Eseguire il comando per aggiornare lo stato dei criteri del Registro di sistema.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Disabilitare l'autenticazione come arm nel Registro Azure Container - portale di Azure

La disabilitazione della authentication-as-arm proprietà assegnando un criterio predefinito disabiliterà automaticamente la proprietà del Registro di sistema per i registri correnti e futuri. Questo comportamento automatico riguarda i registri creati nell'ambito dei criteri. Gli ambiti dei criteri possibili includono l'ambito a livello di gruppo di risorse o l'ambito a livello di ID sottoscrizione all'interno del tenant.

È possibile disabilitare authentication-as-arm nel Registro Azure Container, seguendo questa procedura:

  1. Accedi al portale di Azure.

  2. Fare riferimento alle definizioni di criteri predefiniti di Registro Azure Container nella definizione di azure-container-registry-built-in-policy.

  3. Assegnare un criterio predefinito per disabilitare la definizione di autenticazione come arm- portale di Azure.

Assegnare una definizione di criteri predefinita per disabilitare l'autenticazione del token del gruppo di destinatari arm - portale di Azure.

È possibile abilitare i criteri di accesso condizionale del Registro di sistema nella portale di Azure.

Registro Azure Container include due definizioni di criteri predefinite per disabilitare l'autenticazione come arm, come indicato di seguito:

  • Container registries should have ARM audience token authentication disabled. - Questo criterio segnala, blocca tutte le risorse non conformi e invia anche una richiesta di aggiornamento non conforme a conforme.

  • Configure container registries to disable ARM audience token authentication. - Questo criterio offre correzioni e aggiornamenti non conformi alle risorse conformi.

    1. Accedi al portale di Azure.

    2. Passare al gruppo Registro Azure Container> Risorsa> Impostazioni> Criteri.

      Screenshot showing how to navigate Azure policies.

    3. Passare a Criteri di Azure, In Assegnazioni selezionare Assegna criterio.

      Screenshot showing how to assign a policy.

    4. In Assegna criterio usare i filtri per cercare e trovare l'ambito, la definizione dei criteri, il nome dell'assegnazione.

      Screenshot of the assign policy tab.

    5. Selezionare Ambito per filtrare e cercare Sottoscrizione e Gruppo di risorse e scegliere Seleziona.

      Screenshot of the Scope tab.

    6. Selezionare Definizione dei criteri per filtrare e cercare i criteri predefiniti nei criteri di accesso condizionale.

      Screenshot of built-in-policy-definitions.

    7. Usare i filtri per selezionare e confermare Ambito, Definizione dei criteri e Nome assegnazione.

    8. Usare i filtri per limitare gli stati di conformità o per cercare i criteri.

    9. Confermare le impostazioni e impostare l'imposizione dei criteri come abilitata.

    10. Selezionare Rivedi+Crea.

      Screenshot to activate a Conditional Access policy.

Passaggi successivi

Creare e configurare criteri di accesso condizionale